1.实验介绍

1.1 CHAP链路概念

PPP CHAP链路认证是在PPP通信中使用的一种安全的链路层认证协议。它用于验证两个节点之间的身份，确保通信对等方的合法性和身份安全。

1.2 CHAP链路原理

• PPP链路建立：当两个节点建立PPP链路时，其中一个节点（认证发起方）发送认证请求给对方节点（认证响应方）。
• 发送挑战：认证发起方向对方节点发送一个挑战消息（Challenge），其中包含一个随机生成的挑战字符串。
• 计算响应：对方节点收到挑战消息后，使用事先共享的密钥（密码）对挑战字符串进行计算，生成一个响应字符串（Response）。
• 响应验证：认证发起方收到对方节点发送的响应字符串后，使用同样的密钥进行计算，并将结果与收到的响应字符串进行比对。
• 认证结果：如果计算的结果与收到的响应字符串匹配，认证成功，链路继续建立。如果不匹配，认证失败，链路不会建立。

CHAP链路认证采用了一种挑战-响应的方式，避免了明文传输密码。密码不会在链路上传输，而是在本地节点和对端节点各自进行计算和验证。这种方式提供了更高的安全性，使得CHAP链路认证相对于PAP等明文认证方式更加安全可靠。

CHAP链路认证还支持周期性的重新认证，使得在通信过程中可以定期重新验证身份，增强了链路的安全性。

需要注意的是，CHAP链路认证仅提供了链路层的身份验证，而并没有提供数据的加密或完整性保护。为了确保通信的机密性和完整性，还需要使用其他的加密协议或安全机制，如IPsec等。

总结而言，PPP CHAP链路认证是一种安全的链路层认证协议，通过挑战-响应过程验证两个节点之间的身份。它提供了更高的安全性和密码保护机制，是一种常用的认证方式在网络通信中广泛应用。

1.2实验目的

理解PPP协议和链路层认证

实践CHAP认证过程

熟悉配置和管理网络设备

1.3实验组网介绍

1.4实验效果

配置认证方后查看PC1与PC2不互通，而后在被认证方输入用户与密码

1.5实验任务配置

1.5.1配置思路

1. 配置各接口IP地址

2. 在R1与认证方的相关配置

3. 在R2与被认证方的相关配置

1.5.2配置步骤

在路由器上添加串行接口

配置R1相关IP地址

[R1]int s4/0/0

[R1-Serial4/0/0]ip add 10.1.2.1 24

配置R2相关IP地址

[R2]int s4/0/0

[R2-Serial4/0/0]ip add 10.1.2.2 24

在R1进入aaa配置模式

 [R1]aaa

创建认证端账户ikun，密码为加密密码:123456

[R1-aaa]local-user ikun password cipher 123456

此账户只允许被ppp协议使用

[R1-aaa]local-user ikun service-type ppp

进入接口s4/0/0中

[R1-aaa]int s4/0/0

串口接口使用ppp协议

[R1-Serial4/0/0]link-protocol ppp

启用ppp协议中的chap协议认证

[R1-Serial4/0/0]ppp authentication-mode chap

R1 ping R2是可以直接通信的，因为配置ip地址时已经建立连接

端口断开再连接，再ping发现不连通

[R1-Serial4/0/0]shutdown

[R1-Serial4/0/0]undo shutdown

被认证端配置，输入认证端账户和密码进行认证

[R2-Serial4/0/0]ppp chap user ikun

[R2-Serial4/0/0]ppp chap password cipher 123456

发现已经连通

抓包发现看到生成了一串由用户和自身配置的密钥